Что требует закон?
Закон вступил в силу 7 июня 2006 года и требует, чтобы каждый оператор выполнил требования статей 18.1 и 19 закона путем разработки внутренних организационно-распорядительных документов (ОРД) и защиты компьютерных систем организации, в которых обрабатываются персональные данные (смотрите статью техническая подготовка).
Что конкретно должно содержаться в ОРД по статьям 18.1 и 19 закона?
На первый взгляд все просто. Кажется, что, открыв указанные статьи закона, можно с легкостью их проанализировать и разработать требуемый пакет ОРД. Но не тут-то было. Формулировки закона достаточно общие, и, не имея опыта реализации закона, понять, какие же ОРД нужно разработать по тому или иному пункту закона, практически невозможно.
Многие операторы в итоге разрабатывают всего лишь 3-5 документов, считая, что требования закона они выполнили и к проверке Роскомнадзора готовы.
Только эксперты рынка информационной безопасности, принимавшие участие в рассмотрении законопроекта о персональных данных и изменений к нему, а также имеющие многолетний опыт работы в области защиты информации, знают, что в действительности скрывается под той или иной формулировкой, и могут точно сказать, какой конкретно документ необходимо разработать по тому или иному пункту закона. В итоге по статьям 18.1 и 19 закона необходимо разработать около 40 документов!
Какие документы необходимо разработать по 152-ФЗ?
На основе экспертного анализа и практики прохождения проверок Роскомнадзора был составлен перечень документов, которые требуются в соответствии со статьями 18.1 и 19 закона:
№ |
Наименование документа |
Пункт закона |
1. |
Приказ об ответственном за организацию обработки персональных данных |
Статья 18.1 часть 1 пункт 1) |
2. |
Правила/положение об обработке персональных данных |
Статья 18.1 часть 1 пункт 2) |
3. |
Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением:
- инструкция по оценке вреда,
- акт оценки вреда (при наличии)
|
Статья 18.1 часть 1 пункт 5) |
4. |
Журнал ознакомления с законодательством и внутренними документами оператора |
Статья 18.1 часть 1 пункт 6) |
5. |
Раздел в трудовой договор и(или) должностную инструкцию и(или) согласие об обработке персональных данных |
Статья 18.1 часть 1 пункт 6) |
6. |
Политика в отношении обработки и защиты персональных данных |
Статья 18.1 часть 2 |
7. |
Акт (отчет) об обследовании |
Статья 19 часть 1, 2, 4 |
8. |
Акт установления уровня защищенности |
Статья 19 часть 1, 2, 4 |
9. |
Техническое задание на систему защиты персональных данных |
Статья 19 часть 1, 2, 4 |
10. |
Модель угроз по методике ФСБ и отдельно по ФСТЭК |
Статья 19 часть 2 пункт 1 |
11. |
Технический проект на систему защиты персональных данных |
Статья 19 часть 1, 2, 4 |
12. |
Акты установки средств защиты персональных данных |
Статья 19 часть 1, 2, 4 |
13. |
Формуляры и сертификаты ФСТЭК России на средства защиты персональных данных |
Статья 19 часть 2 пункт 3) |
14. |
Организационно-распорядительная документация по защите ИСПДн (около 15 документов) |
Статья 19 часть 1, 2, 4 |
15. |
Программа и методика оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
Статья 19 часть 2 пункт 4) |
16. |
Протокол оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
Статья 19 часть 2 пункт 4) |
17. |
Заключение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных |
Статья 19 часть 2 пункт 4) |
18. |
Аттестат от лицензиата ФСТЭК или декларация соответствия |
Статья 19 часть 2 пункт 4) |
19. |
Положение об учете машинных носителей персональных данных с приложением:
- журнал учета машинных носителей,
- акты установки (ввода в эксплуатацию) носителя(ей) (при наличии),
- акты уничтожения носителей (при наличии),
- акты восстановления носителя(ей) персональных данных (при наличии),
- акты приема-передачи носителя(ей) персональных данных (при наличии)
|
Статья 19 часть 2 пункт 5) |
20. |
Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных с приложением:
- журнал учета инцидентов,
- акты выявления инцидентов (при наличии),
- акты устранения инцидентов (при наличии)
|
Статья 19 часть 2 пункт 6) |
21. |
Положение о резервном копировании и восстановлении персональных данных с приложением:
- журнал учета резервирования персональных данных,
- акты восстановления персональных данных (при наличии)
|
Статья 19 часть 2 пункт 7) |
22. |
Разрешительная система доступа |
Статья 19 часть 2 пункт 8) |
23. |
Раздел в инструкцию пользователя |
Статья 19 часть 2 пункт 8) |
24. |
Раздел в инструкцию системного администратора |
Статья 19 часть 2 пункт 8) |
25. |
Раздел в инструкцию администратора информационной безопасности |
Статья 19 часть 2 пункт 8) |
26. |
Положение о внутреннем контроле обработки и защиты персональных данных, с приложением:
- план внутреннего контроля,
- акт внутреннего контроля
|
Статья 19 часть 2 пункт 9) |
Внимание: указанный выше перечень документов не является достаточным для полноценного соответствия 152-ФЗ, так как также нужно выполнять другие пункты закона и подзаконных нормативно-правовых актов в области персональных данных.
Камни преткновения
Со следующими проблемами сталкиваются большинство операторов при реализации требований закона:
- Не имея опыта, не знают, как трактовать то или иное требование закона и какой конкретно документ нужно разработать.
- Не знают подзаконные нормативно-правовые акты, которые нужно выполнять и которые требуют разработку дополнительных ОРД.
- Не знают, какие дополнительные документы запрашивает Роскомнадзор на выездной проверке, и, пытаясь угадать, делают лишнюю работу.
Лайфхак по правильной подготовке по 152-ФЗ
Чтобы правильно подготовиться по 152-ФЗ, необходимо собрать волю в кулак и учесть следующее:
- При изучении закона в первую очередь необходимо обратить внимание на статьи 9, 18.1 и 19, так как Роскомнадзор проверяет выполнение оператором именно этих статей закона.
- Понять, что для полноценного соответствия 152-ФЗ необходимо не только разработать пакет ОРД (около 40 шт), но и выполнить техническую подготовку информационных систем персональных данных, т.е. защитить компьютерные системы специальными средствами защиты (антивирус, межсетевой экран, криптографическая защита, сканер безопасности и др.), прошедшими оценку соответствия (с сертификатом ФСБ и ФСТЭК России).
- Знать, что по результатам защиты компьютерных систем необходимо также провести оценку эффективности реализованных мер защиты путем тестирования компьютерной системы на защищенность (аттестация ФСТЭК России).
- Иметь в виду, что при разработке пакета ОРД необходимо также учитывать подзаконные нормативно-правовые акты, которых насчитывается более 6 (шести) и в итоге полный набор ОРД намного больше, чем при реализации только статей 18.1 и 19 закона.
- Иметь в виду, что при проверке Роскомнадзора могут быть запрошены дополнительные документы, о необходимости разработки которых операторы даже не подозревают.
Подзаконные нормативно-правовые акты по персональным данным
Чтобы соответствовать 152-ФЗ полноценно, нужно, помимо статей 18.1 и 19 закона, также учитывать требования следующих подзаконных нормативно-правовых актов:
Подготовка по 152-ФЗ: цена вопроса
Трудоемкость подготовки организации по 152-ФЗ в первую очередь зависит от масштаба организации, количества ее контрагентов, а также от количества и категорий обрабатываемых персональных данных. Чем всего указанного больше – тем дороже.
Стоимость правовой подготовки организации (разработка полного пакета ОРД применительно к конкретной организации), как правило, составляет от 300 тысяч до 3 миллионов. Для микробизнеса — 300 – 800 тысяч, для среднего бизнеса — 1 – 2 миллиона, а для крупного — 2 – 3 миллиона.
В указанную стоимость не входит техническая подготовка информационных систем персональных данных, т.е. защита и аттестация компьютерных систем. Методология технической подготовки регламентирована ФСТЭК России и отличается от методологии правовой подготовки. Защита компьютерных систем обычно выделяется в отдельный проект с отдельным бюджетом и занимает достаточно продолжительное время. Поэтому правовую подготовку лучше проводить отдельно.
Скачать коммерческое предложение на правовую подготовку оператора в соответствии с 152-ФЗ
СКАЧАТЬ PDF
Что предлагаем мы?
Мы предлагаем вам правовую подготовку по 152-ФЗ с разработкой полноценного пакета организационно-распорядительной документации, необходимой для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора, с гарантией по договору.